HDXアプリ向けSmartAccess

この機能により、デバイスプロパティ、デバイスのユーザープロパティ、デバイスにインストールされたアプリケーションに基づいてHDXアプリへのアクセスを制御できます。この機能を使用するには、デバイスをコンプライアンス違反に指定してアクセスを拒否する、自動化された操作を設定します。この機能を使用するHDXアプリをCitrix Virtual Apps and Desktopsで構成するには、コンプライアンス違反のデバイスへのアクセスを拒否するSmartAccessポリシーを使用します。Endpoint Managementは、署名された暗号化タグを使って、StoreFrontにデバイスの状態を伝えます。するとStoreFrontは、アプリのアクセス制御ポリシーに基づいてアクセスを許可または拒否します。

この機能を使用するには、次の環境が必要です。

  • Citrix Virtual Apps and Desktops
  • Citrix Endpoint Management
  • Citrix Workspace環境
  • タグの署名と暗号化に使用するSAML証明書が構成されたEndpoint Management。秘密キーのない同じ証明書がStoreFrontサーバーにアップロードされます。

この機能を使い始めるには:

  • Endpoint Managementサーバー証明書をStoreFrontストアに構成します。
  • 必要なSmartAccessポリシーを使用して、少なくとも1つのCitrix Virtual Apps and Desktopsデリバリーグループを構成します。
  • Endpoint Managementで自動化された操作を設定します。

Endpoint Managementサーバー証明書のエクスポートと構成、およびStoreFrontストアへのアップロード

SmartAccessは、署名された暗号化タグを使用して、Endpoint ManagementサーバーとStoreFrontサーバー間で通信します。この通信を有効にするには、Endpoint Managementサーバー証明書をStoreFrontストアに追加します。

Endpoint Managementがドメインおよび証明書ベースの認証で有効な場合にStoreFrontとEndpoint Managementを統合する方法について詳しくは、Support Knowledge Centerを参照してください。

SAML証明書をEndpoint Managementからエクスポートする

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。[証明書] をクリックします。

  2. Endpoint ManagementサーバーのSAML証明書を見つけます。

    SmartAccess構成の画像

  3. [機密キーをエクスポート][オフ] に設定されていることを確認します。[エクスポート] をクリックして、証明書をダウンロードディレクトリにエクスポートします。

    SmartAccess構成の画像

  4. ダウンロードディレクトリで証明書を検索します。証明書はPEM形式です。

    SmartAccess構成の画像

証明書をPEMからCERに変換する

  1. Microsoft管理コンソール(MMC)を開き、[証明書]>[すべてのタスク]>[インポート] を右クリックします。

    SmartAccess構成の画像

  2. 証明書のインポートウィザードが表示されたら、[次へ] をクリックします。

    SmartAccess構成の画像

  3. ダウンロードディレクトリで証明書を参照します。

    SmartAccess構成の画像

  4. [証明書をすべて次のストアに配置する] をクリックし、証明書ストアとして [個人] を選択します。[次へ] をクリックします。

    SmartAccess構成の画像

  5. 選択した内容を確認し、[完了] をクリックします。[OK] をクリックして確認ウィンドウを閉じます。

  6. MMCで証明書を右クリックし、[すべてのタスク]、[エクスポート] の順に選択します。

    SmartAccess構成の画像

  7. 証明書のエクスポートウィザードが表示されたら、[次へ] をクリックします。

    SmartAccess構成の画像

  8. [DER encoded binary X.509 (.CER)] の形式を選択します。[次へ] をクリックします。

    SmartAccess構成の画像

  9. 証明書を参照します。証明書の名前を入力し、[次へ] をクリックします。

    SmartAccess構成の画像

  10. 証明書を保存します。

    SmartAccess構成の画像

  11. 証明書を参照し、[次へ] をクリックします。

    SmartAccess構成の画像

  12. 選択した内容を確認し、[完了] をクリックします。[OK] をクリックして確認ウィンドウを閉じます。

    SmartAccess構成の画像

  13. ダウンロードディレクトリで証明書を検索します。証明書はCER形式であることに注意してください。

    SmartAccess構成の画像

証明書をStoreFrontサーバーにコピーする

  1. StoreFrontサーバーで、SmartCertという名前のフォルダーを作成します。

  2. 証明書をSmartCertフォルダーにコピーします。

    SmartAccess構成の画像

StoreFrontストアで証明書を構成する

StoreFrontサーバーで、次のPowerShellコマンドを実行して、変換したEndpoint Managementサーバー証明書をストアに構成します:

    Grant-STFStorePnaSmartAccess –StoreService $store –CertificatePath  “C:\xms\xms.cer” –ServerName “XMS server”

SmartAccess構成の画像

StoreFrontストアに既存の証明書が存在する場合は、次のPowerShellコマンドを実行して証明書を無効にします。

    Revoke-STFStorePnaSmartAccess –StoreService $store –All

SmartAccess構成の画像

あるいは、StoreFrontサーバー上で次のPowerShellコマンドのいずれかを実行して、StoreFrontストア上の既存の証明書を取り消すこともできます。

  • 名前で取り消す:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –ServerName “My XM Server"
  • 拇印で取り消す:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –CertificateThumbprint “1094821dec7834d5d42 bb456329efe4fca86c60b”
  • サーバーオブジェクトで取り消す:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    $access = Get-STFStorePnaSmartAccess –StoreService $store

    Revoke-STFStorePnaSmartAccess –StoreService $store –SmartAccess $access.AccessConditionsTrusts[0]

Citrix Virtual Apps and DesktopsでのSmartAccessポリシーの構成

HDXアプリを配信するデリバリーグループに必要なSmartAccessポリシーを追加するには、次の手順を行います。

  1. Citrix CloudコンソールでCitrix Studioを開きます。

  2. Studioのナビゲーションペインで [デリバリーグループ] を選択します。

  3. アプリを配信するグループまたはアクセスを制御するアプリを選択します。[操作] ペインの [デリバリーグループの編集] を選択します。

  4. [アクセスポリシー] ページで、[Citrix Gatewayを経由する接続][次のいずれかに一致する接続] を選択します。

  5. [追加] をクリックします。

  6. [ファーム] が「XM」で、[フィルター] が「XMCompliantDevice」のアクセスポリシーを追加します。

    SmartAccess構成の画像

  7. [適用] をクリックして行った変更を適用しウィンドウを開いたままにするか、[OK]をクリックして変更を適用しウィンドウを閉じます。

Endpoint Managementで自動化された操作を設定する

HDXアプリのデリバリーグループに設定したSmartAccessポリシーは、デバイスがコンプライアンス違反である場合にそのデバイスへのアクセスを拒否します。自動化された操作を使用して、そのデバイスをコンプライアンス違反としてマークします。

SmartAccess構成の画像

  1. Endpoint Managementコンソールで、[構成]>[アクション] の順にクリックします。[操作] ページが開きます。

  2. [追加] をクリックして操作を追加します。[アクション情報] ページが開きます。

  3. [アクション情報] ページで、操作の名前と説明を入力します。

  4. [次へ] をクリックします。[アクションの詳細] ページが開きます。次の例では、ユーザープロパティ名がeng5またはeng6の場合に、デバイスをただちにコンプライアンス違反と指定するトリガーを作成します。

    SmartAccess構成の画像

  5. [トリガー] 一覧で、[デバイスプロパティ][ユーザープロパティ]、または [インストール済みアプリ名] を選択します。SmartAccessはイベントトリガーをサポートしていません。

  6. [アクション] 一覧で、以下を実行します。

    • [コンプライアンス違反としてデバイスをマーク] を選択します。
    • [=] を選択します。
    • [真] を選択します。
    • トリガー条件が満たされたときに、ただちにデバイスをコンプライアンス違反としてマークされるように操作を設定するには、時間枠を0に設定します。
  7. Endpoint Managementデリバリーグループまたはこの操作を適用するグループを選択します。

  8. 操作の概要を確認します。

  9. [次へ] をクリックし、[保存] をクリックします。

デバイスがコンプライアンス違反としてマークされると、HDXアプリはSecure Hubストアに表示されなくなります。ユーザーはアプリにサブスクライブされなくなります。デバイスに通知は送信されず、Secure HubストアではHDXアプリが以前は利用可能であったことは示されません。

デバイスがコンプライアンス違反としてマークされたときにユーザーに通知する場合は、通知を作成し、その通知を送信する自動化された操作を作成します。

この例では、デバイスがコンプライアンス違反としてマークされたときに「Device serial number or telephone number no longer complies with the device policy and HDX applications will be blocked.」という通知を作成して送信します。

SmartAccess構成の画像

デバイスがコンプライアンス違反としてマークされたときにユーザーに表示される通知を作成する

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [通知テンプレート] をクリックします。[通知テンプレート] ページが開きます。

  3. [通知テンプレート] ページで [追加] をクリックして追加します。

  4. 最初にSMSサーバーを設定するように求められたときは、[いいえ、あとでセット アップする] をクリックします。

    SmartAccess構成の画像

  5. 次の設定を構成します。

    • 名前: HDXアプリケーションブロック
    • 説明: デバイスがコンプライアンス違反である場合のエージェント通知
    • 種類: アドホック通知
    • Secure Hub: アクティブ
    • メッセージ: Device ${firstnotnull(device.TEL_NUMBER,device.serialNumber)} no longer complies with the device policy and HDX applications will be blocked.

    SmartAccess構成の画像

  6. [Save] をクリックします。

デバイスがコンプライアンス違反としてマークされたときに通知を送信する操作を作成する

  1. Endpoint Managementコンソールで、[構成]>[アクション] の順にクリックします。[操作] ページが開きます。

  2. [追加] をクリックして操作を追加します。[アクション情報] ページが開きます。

  3. [アクション情報] ページで、操作の名前と説明を入力します。

    • 名前: HDXブロック通知
    • 説明: デバイスがコンプライアンス違反である場合のHDXブロック通知
  4. [次へ] をクリックします。[アクションの詳細] ページが開きます。

  5. [トリガー] 一覧で、以下を実行します。

    • [デバイスプロパティ] を選択します。
    • [コンプライアンス違反] を選択します。
    • [=] を選択します。
    • [真] を選択します。

    SmartAccess構成の画像

  6. [操作] 一覧で、トリガーが満たされたときに実行される操作を指定します。

    • [通知を送信] を選択します。
    • 作成した通知である[HDX Application Block] を選択します。
    • 0を選択します。この値を0に設定すると、トリガー条件が満たされるとすぐに通知が送信されます。
  7. Endpoint Managementデリバリーグループまたはこの操作を適用するグループを選択します。この例では、[AllUsers] を選択します。

  8. 操作の概要を確認します。

  9. [次へ] をクリックし、[保存] をクリックします。

自動化された操作の設定について詳しくは、「自動化された操作」を参照してください。

ユーザーがHDXアプリに再度アクセスする方法

デバイスがコンプライアンスを再び満たすようになると、ユーザーはHDXアプリに再びアクセスできます。

  1. デバイスで、Secure Hubストアにアクセスして、ストア内のアプリを更新します。

  2. 対象のアプリに移動して [追加] をタップします。

アプリが追加されると、[マイアプリ]の横に青い点を付けて表示され、新しくインストールされたアプリであることを示します。

SmartAccess構成の画像